Nieuwe Vault 7-documenten geven meer details over CIA-aanvallen op Apple-systemen

WikiLeaks geeft nieuwe ‘Vault 7’ documenten vrij. De nieuwe documenten bevatten verschillende CIA-projecten die erop gericht zijn firmware op Apple-systemen te infecteren met malware. Dit betekent dat een dergelijke malware-infectie nagenoeg niet te verwijderen valt, ook niet als het besturingssysteem volledig opnieuw wordt geïnstalleerd.

De reeks documenten wordt door WikiLeaks Vault 7 “Dark Matter’ genoemd en volgens op een eerdere reeks documenten die zijn vrijgegeven. De projecten die in de documenten worden beschreven zijn volgens de klokkenluidersorganisatie ontwikkeld door de CIA’s Embedded Development Branch (EBD). De projecten zouden gericht zijn op het besmetten van zowel Mac’s als iPhones.

Sonic Screwdriver

Eén van de projecten die wordt beschreven heet ‘Sonic Screwdriver’, dat zich richt op het uitvoeren van code vanaf randapparatuur terwijl een Mac laptop of desktop opstart. Dit geeft een aanvaller de mogelijkheid vanaf bijvoorbeeld een USB-stick het apparaat te besmetten met malware, ook als de firmware van dit systeem met een wachtwoord is beschreven. De malware van Sonic Screwdriver zou zijn opgeslagen op een aangepaste variant van de firmware van een Apple Thunderbolt-to-Ethernet adapter.

DarkSeaSkies

Een ander project is ‘DarkSeaSkies’, dat zich richt op het creëren van een permanente malware-infectie in de EFI-firmware van een MacBook Air. Hierbij wordt gebruik gemaakt van ‘DarkMatter’, ‘SeaPea’ en ‘NightSkies’, respectievelijk EFI, kernel-space en user-space implantaten.

Triton malware

Daarnaast wordt in de documenten de ‘Triton’ malware voor OS X, de ‘infector’ Dark Mallet en de EFI-persistent versie ‘DerStake’ beschreven. Daarnaast is een handleiding genaamd ‘DerStake1.4’ vrijgegeven en beschrijft hoe de DerStake malware kan worden ingezet. Deze handleiding stamt uit 2013, maar andere Vault 7 documenten tonen volgens WikiLeaks aan dat de CIA in 2016 nog steeds gebruik maakte van dit cyberwapen. Momenteel zou de Amerikaanse opsporingsinstantie werken aan de productie van DerStarke2.0.

NightSkies 1.2

Tot slot geeft WikiLeaks de handleiding ‘NightSkies 1.2’ vrij. NightSkies is een tool die het mogelijk maakt malware te installeren op nieuwe iPhones die rechtstreeks uit de fabriek komen. Hiervoor is fysieke toegang tot de apparaten nodig. Versie 1.2 van NightSkies stamt uit 2008, waaruit WikiLeaks concludeert dat de CIA in ieder geval sinds 2008 de leveranciersketen van Apple aanvalt op iPhones van doelwitten te besmetten met malware.

WikiLeaks merkt op dat in sommige gevallen apparaten van opgepakte verdachten met deze malware besmet zullen worden. WikiLeaks noemt het echter waarschijnlijk dat de CIA ook de leveranciersketen van Apple heeft aangevallen door verzonden iPhones te onderscheppen, deze apparaten te besmetten met malware en vervolgens door te sturen naar hun uiteindelijke bestemming.

Meer informatie is te vinden op WikiLeaks.org.